이 문서에서는 게이트웨이 간 및 원격 사용자 기능을 모두 포함하는 IPsec 컨피그레이션을 설명합니다. 확장 인증(Xauth)을 사용하면 디바이스가 사전 공유 키를 통해 인증되고 사용자는 사용자 이름/비밀번호 챌린지를 통해 인증됩니다.
이 문서에 대한 특정 요건이 없습니다.
이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.
PIX Firewall 버전 6.3(3)
Cisco VPN Client 버전 3.5
Cisco Secure ACS for Windows 버전 2.6
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.
문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 표기 규칙을 참고하십시오.
이 예에서는 원격 PIX에서 허브 PIX로의 게이트웨이 간 IPsec 터널이 있습니다. 이 터널은 원격 PIX 뒤에 있는 네트워크 10.48.67.x에서 허브 PIX 뒤에 있는 네트워크 10.48.66.x로의 트래픽을 암호화합니다. 인터넷의 PC는 허브 PIX를 통해 네트워크 10.48.66.x에 대한 IPsec 터널을 형성할 수 있습니다.
Xauth 기능을 사용하려면 먼저 기본 인증, 권한 부여 및 계정 관리(AAA) 서버를 설정해야 합니다. IKE(Internet Key Exchange)의 1단계 동안 IKE를 인증하기 위해 PIX 방화벽에서 Xauth(RADIUS/TACACS+ 사용자 이름 및 비밀번호) 챌린지를 사용하도록 하려면 crypto map client authentication 명령을 사용합니다. Xauth가 실패하면 IKE 보안 연결이 설정되지 않습니다. crypto map client authentication 명령문에서 지정된 동일한 AAA 서버 이름을 aaa-server 명령문에 지정합니다. 원격 사용자는 Cisco VPN Client 버전 3.x를 실행해야 합니다. 또는 이후
참고: Cisco에서는 Cisco VPN Client 3.5.x 이상을 사용하는 것이 좋습니다. VPN Client 1.1은 이 구성에서 작동하지 않으며 이 문서의 범위를 벗어납니다.
참고: Cisco VPN Client 3.6 이상에서는 des/sha 변환 세트를 지원하지 않습니다.
Xauth 없이 컨피그레이션을 복원해야 하는 경우 no crypto map client authentication 명령을 사용합니다. Xauth 기능은 기본적으로 활성화되어 있지 않습니다.
참고: 암호화 기술은 내보내기 제어의 대상이 됩니다. 암호화 기술의 수출과 관련된 법을 아는 것은 여러분의 책임입니다. 자세한 내용은 수출 관리 부서 홈 페이지 를 참조하십시오. 내보내기 제어와 관련된 질문이 있는 경우 export@cisco.com으로 전자 메일을 보냅니다.
참고: PIX Firewall Version 5.3 이상에서는 구성 가능한 RADIUS 포트가 도입되었습니다. 일부 RADIUS 서버는 1645/1646 이외의 RADIUS 포트를 사용합니다(일반적으로 1812/1813). PIX 5.3 이상에서는 다음 명령을 사용하여 RADIUS 인증 및 어카운팅 포트를 기본 1645/1646 이외의 포트로 변경할 수 있습니다.
aaa-server radius-authport # aaa-server radius-acctport #
이 섹션에는 이 문서에서 설명하는 기능을 구성하기 위한 정보가 표시됩니다.
참고: 명령 조회 도구(등록된 고객만 해당)를 사용하여 이 문서에 사용된 명령에 대한 자세한 내용을 확인하십시오.
이 다이어그램은 VPN 터널을 나타내기 위해 녹색 및 검은색 굵은 선을 사용합니다.
이 문서에서는 이러한 구성을 사용합니다.
참고: 이 문서의 예에서 VPN 서버의 IP 주소는 209.165.200.225, 그룹 이름은 "vpn3000"이고 그룹 암호는 cisco입니다.
허브 PIX 컨피그레이션 |
---|
PIX Version 6.3(3) interface ethernet0 auto interface ethernet1 auto nameif ethernet0 outside security0 nameif ethernet1 inside security100 enable password OnTrBUG1Tp0edmkr encrypted passwd 2KFQnbNIdI.2KYOU encrypted hostname hubfixup protocol dns maximum-length 512 fixup protocol ftp 21 fixup protocol h323 h225 1720 fixup protocol h323 ras 1718-1719 fixup protocol http 80 fixup protocol rsh 514 fixup protocol rtsp 554 fixup protocol sip 5060 fixup protocol sip udp 5060 fixup protocol skinny 2000 fixup protocol smtp 25 fixup protocol sqlnet 1521 fixup protocol tftp 69 names !--- Include traffic in the encryption process. access-list 101 permit ip 10.48.66.0 255.255.255.0 10.48.67.0 255.255.255.0 !--- Accept traffic from the Network Address Translation (NAT) process access-list nonat permit ip 10.48.66.0 255.255.255.0 10.48.67.0 255.255.255.0 access-list nonat permit ip 10.48.66.0 255.255.255.0 10.48.68.0 255.255.255.0 pager lines 24 mtu outside 1500 mtu inside 1500 ip address outside 209.165.200.225 255.255.255.224 ip address inside 10.48.66.18 255.255.255.0 ip audit info action alarm ip audit attack action alarm ip local pool mypool 10.48.68.1-10.48.68.254 no failover failover timeout 0:00:00 failover poll 15 no failover ip address outside no failover ip address inside pdm history enable arp timeout 14400 global (outside) 1 209.16.200.230-209.16.200.240 netmask 255.255.255.224 global (outside) 1 209.16.200.241 !--- Except traffic from the NAT process. nat (inside) 0 access-list nonat nat (inside) 1 10.48.66.0 255.255.255.0 0 0 route outside 0.0.0.0 0.0.0.0 209.165.200.226 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00 timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute aaa-server TACACS+ protocol tacacs+ aaa-server RADIUS protocol radius aaa-server LOCAL protocol local aaa-server mytacacs protocol tacacs+ aaa-server mytacacs (inside) host 10.48.66.102 cisco timeout 5 no snmp-server location no snmp-server contact snmp-server community public no snmp-server enable traps floodguard enable sysopt connection permit-ipsec crypto ipsec transform-set myset esp-des esp-md5-hmac crypto dynamic-map dynmap 10 set transform-set myset !--- Use the crypto-map sequence 10 command for PIX to PIX. crypto map mymap 10 ipsec-isakmp crypto map mymap 10 match address 101 crypto map mymap 10 set peer 209.165.202.129 crypto map mymap 10 set transform-set myset !--- Use the crypto-map sequence 20 command for PIX to VPN Client. crypto map mymap 20 ipsec-isakmp dynamic dynmap crypto map mymap client authentication mytacacs crypto map mymap interface outside isakmp enable outside isakmp key ******** address 209.165.202.129 netmask 255.255.255.255 isakmp identity address isakmp policy 10 authentication pre-share isakmp policy 10 encryption des isakmp policy 10 hash md5 !--- ISAKMP policy for VPN Client that runs 3.x code needs to be DH group 2. isakmp policy 10 group 2 isakmp policy 10 lifetime 86400 !--- IPsec group configuration for VPN Client. vpngroup vpn3000 address-pool mypool vpngroup vpn3000 dns-server 10.48.66.129 vpngroup vpn3000 wins-server 10.48.66.129 vpngroup vpn3000 default-domain cisco.com vpngroup vpn3000 idle-time 1800 vpngroup vpn3000 password ******** telnet timeout 5 ssh timeout 5 console timeout 0 terminal width 80 Cryptochecksum:7293dd9fc7c58ff5d65f042dd6ddbe13 : end |
원격 PIX 컨피그레이션 |
---|
PIX Version 6.3(3) interface ethernet0 auto interface ethernet1 100basetx interface ethernet2 auto shutdown nameif ethernet0 outside security0 nameif ethernet1 inside security100 nameif ethernet2 intf2 security4 enable password OnTrBUG1Tp0edmkr encrypted passwd 2KFQnbNIdI.2KYOU encrypted hostname remote fixup protocol dns maximum-length 512 fixup protocol ftp 21 fixup protocol h323 h225 1720 fixup protocol h323 ras 1718-1719 fixup protocol http 80 fixup protocol rsh 514 fixup protocol rtsp 554 fixup protocol sip 5060 fixup protocol sip udp 5060 fixup protocol skinny 2000 fixup protocol smtp 25 fixup protocol sqlnet 1521 fixup protocol tftp 69 names access-list 101 permit ip 10.48.67.0 255.255.255.0 10.48.66.0 255.255.255.0 !--- Accept traffic from the NAT process. access-list nonat permit ip 10.48.67.0 255.255.255.0 10.48.66.0 255.255.255.0 pager lines 24 mtu outside 1500 mtu inside 1500 mtu intf2 1500 ip address outside 209.165.202.129 255.255.255.224 ip address inside 10.48.67.155 255.255.255.0 no ip address intf2 ip audit info action alarm ip audit attack action alarm no failover failover timeout 0:00:00 failover poll 15 no failover ip address outside no failover ip address inside no failover ip address intf2 pdm history enable arp timeout 14400 global (outside) 1 209.16.202.135-209.16.202.145 netmask 255.255.255.224 global (outside) 1 209.16.202.146 !--- Except traffic from the NAT process. nat (inside) 0 access-list nonat nat (inside) 1 10.48.0.0 255.255.255.0 0 0 nat (inside) 1 10.48.67.0 255.255.255.0 0 0 route outside 0.0.0.0 0.0.0.0 209.165.202.130 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00 timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute aaa-server TACACS+ protocol tacacs+ aaa-server RADIUS protocol radius aaa-server LOCAL protocol local no snmp-server location no snmp-server contact snmp-server community public no snmp-server enable traps floodguard enable sysopt connection permit-ipsec crypto ipsec transform-set myset esp-des esp-md5-hmac crypto map mymap 10 ipsec-isakmp !--- Include traffic in the encryption process. crypto map mymap 10 match address 101 crypto map mymap 10 set peer 209.165.200.225 crypto map mymap 10 set transform-set myset crypto map mymap interface outside isakmp enable outside isakmp key ******** address 209.165.200.225 netmask 255.255.255.255 isakmp identity address isakmp policy 10 authentication pre-share isakmp policy 10 encryption des isakmp policy 10 hash md5 isakmp policy 10 group 2 isakmp policy 10 lifetime 86400 telnet timeout 5 ssh timeout 5 console timeout 0 terminal width 80 Cryptochecksum:13ef4d29384c65c2cd968b5d9396f6e8 : end |
VPN 클라이언트 설정 방법에 대한 자세한 내용은 PIX에서 PIX 및 VPN Client 3.x로 PIX 구성의 "구성" 섹션을 참조하십시오. 또한 PIX IPsec에 대한 AAA 인증의 컨피그레이션에 대한 자세한 내용은 PIX IPsec 5.2 이상에 AAA 인증(Xauth)을 추가하는 방법을 참조하십시오.
이 섹션에서는 컨피그레이션이 제대로 작동하는지 확인하는 데 사용할 수 있는 정보를 제공합니다.
Output Interpreter 도구(등록된 고객만 해당)(OIT)는 특정 show 명령을 지원합니다. OIT를 사용하여 show 명령 출력의 분석을 봅니다.
show crypto isakmp sa - 1단계 보안 연결을 표시합니다.
show crypto ipsec sa - 2단계 보안 연결을 표시합니다.
이 섹션에서는 컨피그레이션 문제를 해결하는 데 사용할 수 있는 정보를 제공합니다.
Output Interpreter 도구(등록된 고객만 해당)(OIT)는 특정 show 명령을 지원합니다. OIT를 사용하여 show 명령 출력의 분석을 봅니다.
참고: debug 명령을 사용하기 전에 디버그 명령에 대한 중요 정보를 참조하십시오.
이러한 디버그는 두 IPsec 라우터(피어)에서 모두 실행해야 합니다. 두 피어에서 보안 연결을 모두 지워야 합니다.
debug crypto isakmp - 1단계 중 오류를 표시합니다.
debug crypto ipsec - 2단계 중 오류를 표시합니다.
debug crypto engine - 암호화 엔진의 정보를 표시합니다.
clear crypto isakmp sa - 1단계 보안 연결을 지웁니다.
clear crypto ipsec sa - 2단계 보안 연결을 지웁니다.
디버그 반경 [세션 | 모두 | user username]—PIX 6.2에서 사용할 수 있는 이 명령은 RADIUS 세션 정보 및 전송 및 수신된 RADIUS 패킷의 특성을 기록합니다.
debug tacacs [session|user <user_name>]—PIX 6.3에서 사용할 수 있는 이 명령은 TACACS 정보를 기록합니다.
debug aaa [authentication|authorization|accounting|internal]—PIX 6.3에서 사용 가능하며 AAA 하위 시스템 정보를 표시합니다.
참고: 경우에 따라 IPsec 협상이 성공하면 내부 Cisco 버그 ID CSCdu84168(등록된 고객만 해당)의 중복인 Cisco 버그 ID CSCdt31745(등록된 고객만 해당) 때문에 일부 디버그가 PIX에 표시되지 않습니다. 이 문서의 작성 이후로 아직 해결되지 않았습니다.
참고: VPN 클라이언트의 IPSec VPN이 PIX에서 종료되지 않을 수도 있습니다. 이 문제를 해결하려면 클라이언트 PC에 방화벽이 없는지 확인하십시오. 방화벽이 있는 경우 UDP 포트 500 및 4500이 비활성화되었는지 확인합니다. 이 경우 TCP를 통한 IPSec을 활성화하거나 UDP 포트를 차단 해제합니다.
crypto_isakmp_process_block:src:209.165.202.129, dest:209.165.200.225 spt:500 dpt:500 OAK_MM exchange ISAKMP (0): processing SA payload. message ID = 0 ISAKMP (0): Checking ISAKMP transform 1 against priority 10 policy ISAKMP: encryption DES-CBC ISAKMP: hash MD5 ISAKMP: default group 2 ISAKMP: auth pre-share ISAKMP: life type in seconds ISAKMP: life duration (VPI) of 0x0 0x1 0x51 0x80 ISAKMP (0): atts are acceptable. Next payload is 0 ISAKMP (0): SA is doing pre-shared key authentication using id type ID_IPV4_ADDR return status is IKMP_NO_ERROR crypto_isakmp_process_block:src:209.165.202.129, dest:209.165.200.225 spt:500 dpt:500 OAK_MM exchange ISAKMP (0): processing KE payload. message ID = 0 ISAKMP (0): processing NONCE payload. message ID = 0 ISAKMP (0): processing vendor id payload ISAKMP (0): received xauth v6 vendor id ISAKMP (0): processing vendor id payload ISAKMP (0): remote peer supports dead peer detection ISAKMP (0): processing vendor id payload ISAKMP (0): processing vendor id payload ISAKMP (0): speaking to another IOS box! return status is IKMP_NO_ERROR crypto_isakmp_process_block:src:209.165.202.129, dest:209.165.200.225 spt:500 dpt:500 OAK_MM exchange ISAKMP (0): processing ID payload. message ID = 0 ISAKMP (0): processing HASH payload. message ID = 0 ISAKMP (0): SA has been authenticated ISAKMP: Created a peer struct for 209.165.202.129, peer port 62465 ISAKMP (0): ID payload next-payload : 8 type : 1 protocol : 17 port : 500 length : 8 ISAKMP (0): Total payload length: 12 return status is IKMP_NO_ERROR ISAKMP (0): sending INITIAL_CONTACT notify ISAKMP (0): sending NOTIFY message 24578 protocol 1 VPN Peer: ISAKMP: Added new peer: ip:209.165.202.129/500 Total VPN Peers:1 VPN Peer: ISAKMP: Peer ip:209.165.202.129/500 Ref cnt incremented to:1 Total VPN Peers:1 crypto_isakmp_process_block:src:209.165.202.129, dest:209.165.200.225 spt:500 dpt:500 ISAKMP (0): processing NOTIFY payload 24578 protocol 1 spi 0, message ID = 863921625 ISAKMP (0): processing notify INITIAL_CONTACTIPSEC(key_engine): got a queue event... IPSEC(key_engine_delete_sas): rec'd delete notify from ISAKMP IPSEC(key_engine_delete_sas): delete all SAs shared with 209.165.202.129 return status is IKMP_NO_ERR_NO_TRANS crypto_isakmp_process_block:src:209.165.202.129, dest:209.165.200.225 spt:500 dpt:500 OAK_QM exchange oakley_process_quick_mode: OAK_QM_IDLE ISAKMP (0): processing SA payload. message ID = 2542705093 ISAKMP : Checking IPSec proposal 1 ISAKMP: transform 1, ESP_DES ISAKMP: attributes in transform: ISAKMP: encaps is 1 ISAKMP: SA life type in seconds ISAKMP: SA life duration (basic) of 28800 ISAKMP: SA life type in kilobytes ISAKMP: SA life duration (VPI) of 0x0 0x46 0x50 0x0 ISAKMP: authenticator is HMAC-MD5 ISAKMP (0): atts are acceptable.IPSEC(validate_proposal_request): proposal part #1, (key eng. msg.) dest= 209.165.200.225, src= 209.165.202.129, dest_proxy= 10.48.66.0/255.255.255.0/0/0 (type=4), src_proxy= 10.48.67.0/255.255.255.0/0/0 (type=4), protocol= ESP, transform= esp-des esp-md5-hmac , lifedur= 0s and 0kb, spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x4 ISAKMP (0): processing NONCE payload. message ID = 2542705093 ISAKMP (0): processing ID payload. message ID = 2542705093 ISAKMP (0): ID_IPV4_ADDR_SUBNET src 10.48.67.0/255.255.255.0 prot 0 port 0 ISAKMP (0): processing ID payload. message ID = 2542705093 ISAKMP (0): ID_IPV4_ADDR_SUBNET dst 10.48.66.0/255.255.255.0 prot 0 port 0 IPSEC(key_engine): got a queue event... IPSEC(spi_response): getting spi 0x858c841a(2240578586) for SA from 209.165.202.129 to 209.165.200.225 for prot 3 return status is IKMP_NO_ERROR crypto_isakmp_process_block:src:209.165.202.129, dest:209.165.200.225 spt:500 dpt:500 OAK_QM exchange oakley_process_quick_mode: OAK_QM_AUTH_AWAIT ISAKMP (0): Creating IPSec SAs inbound SA from 209.165.202.129 to 209.165.200.225 (proxy 10.48.67.0 to 10.48.66.0) has spi 2240578586 and conn_id 3 and flags 4 lifetime of 28800 seconds lifetime of 4608000 kilobytes outbound SA from 209.165.200.225 to 209.165.202.129 (proxy 10.48.66.0 to 10.48.67.0) has spi 681010504 and conn_id 4 and flags 4 lifetime of 28800 seconds lifetime of 4608000 kilobytesIPSEC(key_engine): got a queue event... IPSEC(initialize_sas): , (key eng. msg.) dest= 209.165.200.225, src= 209.165.202.129, dest_proxy= 10.48.66.0/255.255.255.0/0/0 (type=4), src_proxy= 10.48.67.0/255.255.255.0/0/0 (type=4), protocol= ESP, transform= esp-des esp-md5-hmac , lifedur= 28800s and 4608000kb, spi= 0x858c841a(2240578586), conn_id= 3, keysize= 0, flags= 0x4 IPSEC(initialize_sas): , (key eng. msg.) src= 209.165.200.225, dest= 209.165.202.129, src_proxy= 10.48.66.0/255.255.255.0/0/0 (type=4), dest_proxy= 10.48.67.0/255.255.255.0/0/0 (type=4), protocol= ESP, transform= esp-des esp-md5-hmac , lifedur= 28800s and 4608000kb, spi= 0x28976548(681010504), conn_id= 4, keysize= 0, flags= 0x4 VPN Peer: IPSEC: Peer ip:209.165.202.129/500 Ref cnt incremented to:2 Total VPN Peers:1 VPN Peer: IPSEC: Peer ip:209.165.202.129/500 Ref cnt incremented to:3 Total VPN Peers:1 return status is IKMP_NO_ERROR
crypto_isakmp_process_block:src:10.48.68.2, dest:209.165.200.225 spt:500 dpt:500OAK_AG exchange ISAKMP (0): processing SA payload. message ID = 0 ISAKMP (0): Checking ISAKMP transform 1 against priority 10 policy ISAKMP: encryption AES-CBC ISAKMP: hash SHA ISAKMP: default group 2 ISAKMP: extended auth pre-share (init) ISAKMP: life type in seconds ISAKMP: life duration (VPI) of 0x0 0x20 0xc4 0x9b ISAKMP: keylength of 256 ISAKMP (0): atts are not acceptable. Next payload is 3 ISAKMP (0): Checking ISAKMP transform 2 against priority 10 policy ISAKMP: encryption AES-CBC ISAKMP: hash MD5 ISAKMP: default group 2 ISAKMP: extended auth pre-share (init) ISAKMP: life type in seconds ISAKMP: life duration (VPI) of 0x0 0x20 0xc4 0x9b ISAKMP: keylength of 256 ISAKMP (0): atts are not acceptable. Next payload is 3 ISAKMP (0): Checking ISAKMP transform 3 against priority 10 policy ISAKMP: encryption AES-CBC ISAKMP: hash SHA ISAKMP: default group 2 ISAKMP: auth pre-share ISAKMP: life type in seconds ISAKMP: life duration (VPI) of 0x0 0x20 0xc4 0x9b ISAKMP: keylength of 256 ISAKMP (0): atts are not acceptable. Next payload is 3 ISAKMP (0): Checking ISAKMP transform 4 against priority 10 policy ISAKMP: encryption AES-CBC ISAKMP: hash MD5 ISAKMP: default group 2 ISAKMP: auth pre-share ISAKMP: life type in seconds ISAKMP: life duration (VPI) of 0x0 0x20 0xc4 0x9b ISAKMP: keylength of 256 ISAKMP (0): atts are not acceptable. Next payload is 3 ISAKMP (0): Checking ISAKMP transform 5 against priority 10 policy ISAKMP: encryption AES-CBC ISAKMP: hash SHA ISAKMP: default group 2 ISAKMP: extended auth pre-share (init) ISAKMP: life type in seconds ISAKMP: life duration (VPI) of 0x0 0x20 0xc4 0x9b ISAKMP: keylength of 128 ISAKMP (0): atts are not acceptable. Next payload is 3 ISAKMP (0): Checking ISAKMP transform 6 against priority 10 policy ISAKMP: encryption AES-CBC ISAKMP: hash MD5 ISAKMP: default group 2 ISAKMP: extended auth pre-share (init) ISAKMP: life type in seconds ISAKMP: life duration (VPI) of 0x0 0x20 0xc4 0x9b ISAKMP: keylength of 128 ISAKMP (0): atts are not acceptable. Next payload is 3 ISAKMP (0): Checking ISAKMP transform 7 against priority 10 policy ISAKMP: encryption AES-CBC ISAKMP: hash SHA ISAKMP: default group 2 ISAKMP: auth pre-share ISAKMP: life type in seconds ISAKMP: life duration (VPI) of 0x0 0x20 0xc4 0x9b ISAKMP: keylength of 128 ISAKMP (0): atts are not acceptable. Next payload is 3 ISAKMP (0): Checking ISAKMP transform 8 against priority 10 policy ISAKMP: encryption AES-CBC ISAKMP: hash MD5 ISAKMP: default group 2 ISAKMP: auth pre-share ISAKMP: life type in seconds ISAKMP: life duration (VPI) of 0x0 0x20 0xc4 0x9b ISAKMP: keylength of 128 ISAKMP (0): atts are not acceptable. Next payload is 3 ISAKMP (0): Checking ISAKMP transform 9 against priority 10 policy ISAKMP: encryption 3DES-CBC ISAKMP: hash SHA ISAKMP: default group 2 ISAKMP: extended auth pre-share (init) ISAKMP: life type in seconds ISAKMP: life duration (VPI) of 0x0 0x20 0xc4 0x9b ISAKMP (0): atts are not acceptable. crypto_isakmp_process_block:src:10.48.68.2, dest:209.165.200.225 spt:500 dpt:500 crypto_isakmp_process_block:src:10.48.68.2, dest:209.165.200.225 spt:500 dpt:500 ISAKMP_TRANSACTION exchange ISAKMP (0:0): processing transaction payload from 10.48.68.2.message ID = 17138612 ISAKMP: Config payload CFG_REPLY return status is IKMP_ERR_NO_RETRANS ISAKMP (0:0): initiating peer config to 10.48.68.2. ID = 134858975 (0x809c8df) crypto_isakmp_process_block:src:10.48.68.2, dest:209.165.200.225 spt:500 dpt:500 ISAKMP_TRANSACTION exchange ISAKMP (0:0): processing transaction payload from 10.48.68.2. message ID = 17138612 ISAKMP: Config payload CFG_ACK return status is IKMP_NO_ERROR crypto_isakmp_process_block:src:10.48.68.2, dest:209.165.200.225 spt:500 dpt:500 ISAKMP_TRANSACTION exchange ISAKMP (0:0): processing transaction payload from 10.48.68.2. message ID = 17138612 ISAKMP: Config payload CFG_REQUEST ISAKMP (0:0): checking request: ISAKMP: attribute IP4_ADDRESS (1) ISAKMP: attribute IP4_NETMASK (2) ISAKMP: attribute IP4_DNS (3) ISAKMP: attribute IP4_NBNS (4) ISAKMP: attribute ADDRESS_EXPIRY (5) Unsupported Attr: 5 ISAKMP: attribute UNKNOWN (28672) Unsupported Attr: 28672 ISAKMP: attribute UNKNOWN (28673) Unsupported Attr: 28673 ISAKMP: attribute ALT_DEF_DOMAIN (28674) ISAKMP: attribute ALT_SPLIT_INCLUDE (28676) ISAKMP: attribute ALT_SPLITDNS_NAME (28675) ISAKMP: attribute ALT_PFS (28679) ISAKMP: attribute ALT_BACKUP_SERVERS (28681) ISAKMP: attribute APPLICATION_VERSION (7) ISAKMP: attribute UNKNOWN (28680) Unsupported Attr: 28680 ISAKMP: attribute UNKNOWN (28682) Unsupported Attr: 28682 ISAKMP: attribute UNKNOWN (28677) Unsupported Attr: 28677 ISAKMP (0:0): responding to peer config from 10.48.68.2. ID = 1128513895 return status is IKMP_NO_ERROR crypto_isakmp_process_block:src:10.48.68.2, dest:209.165.200.225 spt:500 dpt:500 OAK_QM exchange oakley_process_quick_mode: OAK_QM_IDLE ISAKMP (0): processing SA payload. message ID = 3681346539 ISAKMP : Checking IPSec proposal 1 ISAKMP: transform 1, ESP_AES ISAKMP: attributes in transform: ISAKMP: authenticator is HMAC-MD5 ISAKMP: key length is 256 ISAKMP: encaps is 1 ISAKMP: SA life type in seconds ISAKMP: SA life duration (VPI) of 0x0 0x20 0xc4 0x9b IPSEC(validate_proposal): transform proposal (prot 3, trans 12, hmac_alg 1) not supported ISAKMP (0): atts not acceptable. Next payload is 0 ISAKMP (0): skipping next ANDed proposal (1) ISAKMP : Checking IPSec proposal 2 ISAKMP: transform 1, ESP_AES ISAKMP: attributes in transform: ISAKMP: authenticator is HMAC-SHA ISAKMP: key length is 256 ISAKMP: encaps is 1 ISAKMP: SA life type in seconds ISAKMP: SA life duration (VPI) of 0x0 0x20 0xc4 0x9b IPSEC(validate_proposal): transform proposal (prot 3, trans 12, hmac_alg 2) not supported ISAKMP (0): atts not acceptable. Next payload is 0 ISAKMP (0): skipping next ANDed proposal (2) crypto_isakmp_process_block:src:10.48.68.2, dest:209.165.200.225 spt:500 dpt:500 hub(config)# hub(config)# hub(config)# hub(config)# crypto_isakmp_process_block:src:10.48.68.2, dest:209.165.200.225 spt:500 dpt:500 ISAKMP (0): processing NOTIFY payload 36136 protocol 1 spi 0, message ID = 3784834735 ISAMKP (0): received DPD_R_U_THERE from peer 10.48.68.2 ISAKMP (0): sending NOTIFY message 36137 protocol 1 return status is IKMP_NO_ERR_NO_TRANS
개정 | 게시 날짜 | 의견 |
---|---|---|
1.0 |
26-Sep-2008 |
최초 릴리스 |